常见钓鱼手法深度解析
Permit链下签名钓鱼的运作机制
Permit作为ERC-20标准的扩展功能,为用户提供了通过签名授权其他地址操作代币的便捷方式。这种看似便利的功能却成为钓鱼者的利器。攻击者通常会精心设计钓鱼网站,诱导用户在不知情的情况下签署授权。当用户对看似无害的签名请求确认后,攻击者就能利用这段签名数据,通过permit函数完成授权,继而调用transferFrom函数转移用户资产。整个过程最具欺骗性的是,受害者在链上记录中完全看不到授权痕迹,因为关键的授权操作是通过链下签名完成的。
Permit2带来的新型钓鱼风险
Uniswap在2022年底推出的Permit2合约本意是优化用户体验,通过统一的授权管理减少交易次数和Gas费用。然而这项创新很快被不法分子利用。与传统的Permit钓鱼类似,攻击者会诱导已经授权过Permit2合约的用户进行签名。由于Permit2默认授权全部余额,一旦用户中招,损失往往更为惨重。值得注意的是,这类攻击中经常出现多个收款地址,其中金额最大的通常是实际攻击者,其余则属于提供钓鱼服务的黑产组织。
签名类钓鱼的多种变体
除了Permit系列钓鱼外,eth_sign这类开放式签名方法同样危险。虽然主流钱包已开始禁用或加强风险提示,但攻击者仍可能通过构造恶意数据诱导用户签名。personal_sign和signTypedData这类常用签名方式也存在被滥用的风险,特别是当签名内容被设计成”盲签”模式时,用户更难察觉其中的猫腻。
授权钓鱼的隐蔽性威胁
授权类钓鱼往往通过伪造正规项目网站或注入恶意脚本实施。以著名的PREMINT事件为例,攻击者通过篡改项目官网的JS文件,在用户不知情的情况下发起setApprovalForAll授权请求。类似的Approve、Increase Approval等授权操作都可能成为钓鱼入口。这类攻击的隐蔽性在于,授权操作本身是区块链上的正常功能,难以及时辨别其恶意意图。
地址污染钓鱼的精准打击
地址污染钓鱼展现了攻击者的耐心与精准。他们会长期监控目标交易记录,精心伪造与常用交易对手相似的地址。这种攻击在2024年5月3日造成了1155WBTC(价值超7000万美元)的巨额损失。攻击者通过向目标发送小额交易”污染”其交易历史,等待用户在匆忙中复制错误地址。
CREATE2带来的检测绕过
随着安全防护的升级,攻击者开始利用CREATE2操作码创建全新地址绕过黑名单检测。这类攻击会在用户授权时使用一个”干净”的预计算地址,待授权完成后再部署恶意合约转移资产。由于授权时合约尚未部署,传统安全工具难以预警,使得这类攻击具有极强的隐蔽性。
钓鱼即服务黑产生态
当前的钓鱼攻击已形成完整的黑色产业链,出现了Inferno、Angel、Pink等专业钓鱼服务提供商。这些组织提供从网站构建、脚本注入到资金洗白的全套服务,攻击者只需支付20-30%的赃款作为佣金。以Inferno Drainer为例,其通过Telegram频道推广服务,已累计创建超过16000个恶意域名,影响超100个加密品牌。
安全防护实用建议
面对日益复杂的钓鱼威胁,用户需要保持高度警惕。任何空投、奖励类链接都应谨慎对待,即便是官方账号发布的消息也需多方验证。在进行交易签名时,务必仔细核对每个字段内容,拒绝一切形式的盲签。了解常见授权函数的风险特征,掌握Interactive、Owner、Spender等关键字段的识别方法,是防范钓鱼的基础能力。
版权声明
- 本文转载自[Foresightnews],著作权归属原作者[SharkTeam],如对转载有异议,请联系Gate Learn团队,团队会根据相关流程尽速处理。
- 免责声明:本文所表达的观点和意见仅代表作者个人观点,不构成任何投资建议。
- 文章其他语言版本由Gate Learn团队翻译, 在未提及Gate.io的情况下不得复制、传播或抄袭经翻译文章。
声明:文章不代表CHAINTT观点及立场,不构成本平台任何投资建议。投资决策需建立在独立思考之上,本文内容仅供参考,风险 自担!转载请注明出处:https://www.chaintt.cn/14042.html
